Piano di backup e ripristino per la protezione da ransomware

  • Articolo

Gli attacchi ransomware crittografano o cancellano deliberatamente i dati e i sistemi per forzare l'organizzazione a pagare denaro agli utenti malintenzionati. Questi attacchi sono destinati ai dati, ai backup e anche alla documentazione chiave necessaria per il ripristino senza pagare gli utenti malintenzionati (per aumentare le probabilità che l'organizzazione pagherà).

Questo articolo illustra le operazioni da eseguire prima di un attacco per proteggere i sistemi aziendali critici e durante un attacco per garantire un rapido ripristino delle operazioni aziendali.

Nota

La preparazione del ransomware migliora anche la resilienza ai disastri naturali e agli attacchi rapidi come WannaCry & (Not)Petya.

Che cos'è il ransomware?

Ransomware è un tipo di attacco di estorsione che crittografa file e cartelle, impedendo l'accesso a dati e sistemi importanti. Gli utenti malintenzionati usano ransomware per estorcere denaro dalle vittime richiedendo denaro, in genere sotto forma di criptovalute, in cambio di una chiave di decrittografia o in cambio di non rilasciare dati sensibili al Dark Web o alla rete Internet pubblica.

Mentre il ransomware precoce usava principalmente malware che si diffondeva con phishing o tra dispositivi, il ransomware gestito dall'uomo è emerso dove una banda di utenti malintenzionati attivi, guidata dagli operatori di attacco umano, è destinato a tutti i sistemi in un'organizzazione (anziché un singolo dispositivo o set di dispositivi). Un attacco può:

  • Crittografare i dati
  • Esfiltrare i dati
  • Danneggiare i backup

Il ransomware sfrutta la conoscenza degli utenti malintenzionati delle configurazioni e delle vulnerabilità comuni del sistema e della sicurezza per infiltrarsi nell'organizzazione, navigare nella rete aziendale e adattarsi all'ambiente e alle sue debolezze man mano che vanno.

Ransomware può essere messo in scena per esfiltrare i tuoi dati prima, in diverse settimane o mesi, prima che il ransomware effettivamente viene eseguito su una data specifica.

Ransomware può anche crittografare lentamente i dati mantenendo la chiave nel sistema. Con la chiave ancora disponibile, i tuoi dati sono utilizzabili per te e il ransomware va inosservato. I backup, tuttavia, sono dei dati crittografati. Dopo che tutti i dati sono crittografati e i backup recenti sono anche di dati crittografati, la chiave viene rimossa in modo da non poter più leggere i dati.

Il danno reale viene spesso fatto quando l'attacco esfiltra i file lasciando le backdoor nella rete per attività dannose future, e questi rischi persistono se il riscatto viene pagato o meno. Questi attacchi possono essere irreversibili per le operazioni aziendali e difficili da pulire, richiedendo una rimozione completa dell'avversario per proteggersi da attacchi futuri. A differenza delle prime forme di ransomware che richiedevano solo la correzione dei malware, il ransomware gestito dall'uomo può continuare a minacciare le operazioni aziendali anche dopo l'evento iniziale.

Impatto di un attacco

L'impatto di un attacco ransomware su qualsiasi organizzazione è difficile da quantificare accuratamente. A seconda dell'ambito dell'attacco, l'impatto potrebbe includere:

  • Perdita dell'accesso ai dati
  • Interruzione dell'operazione aziendale
  • Perdita finanziaria
  • Furto di proprietà intellettuale
  • Reputazione compromessa o attendibilità dei clienti
  • Spese legali

Come puoi proteggerti?

Il modo migliore per evitare di cadere vittima di ransomware è implementare misure preventive e avere strumenti che proteggono l'organizzazione da ogni passaggio che gli utenti malintenzionati intraprendere per infiltrarsi nei sistemi.

È possibile ridurre l'esposizione locale spostando l'organizzazione in un servizio cloud. Microsoft ha investito in funzionalità di sicurezza native che rendono Microsoft Azure resiliente contro gli attacchi ransomware e aiuta le organizzazioni a sconfiggere le tecniche di attacco ransomware. Per una panoramica completa di ransomware ed estorsione e di come proteggere l'organizzazione, fare riferimento alle informazioni nella presentazione di PowerPoint relativa al piano del progetto di mitigazione dei ransomware gestiti dall'uomo.

Si dovrebbe presupporre che a un certo punto nel tempo si cadrà vittima di un attacco ransomware. Uno dei passaggi più importanti che è possibile eseguire per proteggere i dati ed evitare di pagare un riscatto consiste nell'avere un piano di backup e ripristino affidabile per le informazioni aziendali critiche. Poiché gli utenti malintenzionati ransomware hanno investito molto nella neutralizzazione delle applicazioni di backup e delle funzionalità del sistema operativo come la copia shadow del volume, è fondamentale avere backup inaccessibili a un utente malintenzionato.

Backup di Azure

Backup di Azure offre sicurezza all'ambiente di backup, sia quando i dati sono in transito che inattivi. Con Backup di Azure è possibile eseguire il backup:

  • File, cartelle e stato del sistema locali
  • Intere macchine virtuali Windows/Linux
  • Azure Managed Disks
  • Condivisioni file di Azure in un account di archiviazione
  • Database di SQL Server in esecuzione in macchine virtuali di Azure

I dati di backup vengono archiviati in Archiviazione di Azure e l'utente malintenzionato o guest non ha accesso diretto all'archivio di backup o al relativo contenuto. Con il backup delle macchine virtuali, la creazione e l'archiviazione dello snapshot di backup vengono eseguite dall'infrastruttura di Azure, in cui il guest o l'utente malintenzionato non ha alcun coinvolgimento oltre alla disattivazione del carico di lavoro per i backup coerenti con l'applicazione. Con SQL e SAP HANA, l'estensione del backup ottiene l'accesso temporaneo per la scrittura in BLOB specifici. In questo modo, anche in un ambiente compromesso, i backup esistenti non possono essere alterati o eliminati dall'utente malintenzionato.

Backup di Azure offre funzionalità di monitoraggio e avviso predefinite per visualizzare e configurare le azioni per gli eventi correlati a Backup di Azure. I report di Backup fungono da destinazione unica per tenere traccia dell'utilizzo, controllare backup e ripristino e rilevare le tendenze principali a diversi livelli di granularità. L'uso degli strumenti di monitoraggio e creazione di report di Backup di Azure consente di avvisare l'utente in caso di attività non autorizzate, sospette o dannose non appena si verificano.

Sono stati aggiunti alcuni controlli per garantire che solo gli utenti validi possano eseguire diverse operazioni. Questi includono l'aggiunta di un altro livello di autenticazione. Come parte dell'aggiunta di un ulteriore livello di autenticazione per le operazioni critiche, viene richiesto di immettere un PIN di sicurezza prima di modificare i backup online.

Altre informazioni sulle funzionalità di sicurezza integrate in Backup di Azure.

Convalidare i backup

Verificare che il backup sia corretto man mano che il backup viene creato e prima del ripristino. È consigliabile usare un insieme di credenziali di Servizi di ripristino, ovvero un'entità di archiviazione in Azure che ospita i dati. I dati sono in genere copie di dati o informazioni di configurazione per macchine virtuali, carichi di lavoro, server o workstation. È possibile usare gli insiemi di credenziali di Servizi di ripristino per contenere i dati di backup per vari servizi di Azure, ad esempio macchine virtuali IaaS (Linux o Windows) e database SQL di Azure, nonché asset locali. Gli insiemi di credenziali di Servizi di ripristino semplificano l'organizzazione dei dati di backup e forniscono funzionalità come:

  • Funzionalità avanzate per garantire la sicurezza dei backup e il ripristino sicuro dei dati, anche se i server di produzione e backup sono compromessi. Altre informazioni.
  • Monitoraggio per l'ambiente IT ibrido (macchine virtuali IaaS di Azure e asset locali) da un portale centrale. Altre informazioni.
  • Compatibilità con il controllo degli accessi in base al ruolo di Azure, che limita il backup e il ripristino dell'accesso a un set definito di ruoli utente. Il controllo degli accessi in base al ruolo di Azure offre diversi ruoli predefiniti e Backup di Azure ha tre ruoli predefiniti per gestire i punti di ripristino. Altre informazioni.
  • Protezione dall'eliminazione temporanea, anche se un attore malintenzionato elimina un backup (o i dati di backup vengono eliminati accidentalmente). I dati di backup vengono conservati per 14 giorni aggiuntivi, consentendo il ripristino di un elemento di backup senza perdita di dati. Altre informazioni.
  • Ripristino tra aree che consente di ripristinare le macchine virtuali di Azure in un'area secondaria, ovvero un'area abbinata di Azure. È possibile ripristinare i dati replicati nell'area secondaria in qualsiasi momento. In questo modo è possibile ripristinare i dati dell'area secondaria per la conformità al controllo e durante gli scenari di interruzione, senza attendere che Azure dichiari un'emergenza (a differenza delle impostazioni grS dell'insieme di credenziali). Altre informazioni.

Nota

Esistono due tipi di insiemi di credenziali in Backup di Azure. Oltre agli insiemi di credenziali di Servizi di ripristino, sono disponibili anche insiemi di credenziali di backup che ospitano i dati per i carichi di lavoro più recenti supportati da Backup di Azure.

Cosa fare prima di un attacco

Come accennato in precedenza, si dovrebbe presupporre che a un certo punto nel tempo si cadrà vittima di un attacco ransomware. Identificando i sistemi critici per l'azienda e applicando le procedure consigliate prima di un attacco, sarà possibile tornare operativi il più rapidamente possibile.

Determinare cosa è più importante per te

Ransomware può attaccare mentre si sta pianificando un attacco in modo che la prima priorità dovrebbe essere identificare i sistemi critici aziendali che sono più importanti per voi e iniziare a eseguire backup regolari su tali sistemi.

Nell'esperienza, le cinque applicazioni più importanti per i clienti rientrano nelle categorie seguenti in questo ordine di priorità:

  • Sistemi di identità: necessari per consentire agli utenti di accedere a tutti i sistemi (inclusi tutti gli altri descritti di seguito), ad esempio Active Directory, Microsoft Entra Connessione, controller di dominio AD
  • Vita umana – qualsiasi sistema che supporti la vita umana o possa metterlo a rischio come sistemi di supporto medico o vitale, sistemi di sicurezza (ambulanza, sistemi di invio, controllo del traffico), macchinari di grandi dimensioni, sistemi chimici/biologici, produzione di alimenti o prodotti personali e altri
  • Sistemi finanziari: sistemi che elaborano le transazioni monetarie e mantengono il funzionamento aziendale, ad esempio i sistemi di pagamento e i database correlati, il sistema finanziario per la creazione di report trimestrali
  • Abilitazione del prodotto o del servizio: tutti i sistemi necessari per fornire i servizi aziendali o produrre/distribuire prodotti fisici che i clienti pagano, sistemi di controllo fabbrica, sistemi di distribuzione/spedizione del prodotto e simili
  • Sicurezza (minima): è anche necessario classificare in ordine di priorità i sistemi di sicurezza necessari per monitorare gli attacchi e fornire servizi di sicurezza minimi. Questo dovrebbe essere incentrato sulla garanzia che gli attacchi correnti (o semplici opportunistici) non siano immediatamente in grado di ottenere (o riottenere) l'accesso ai sistemi ripristinati

L'elenco di backup con priorità diventa anche l'elenco di ripristino con priorità. Dopo aver identificato i sistemi critici ed eseguire backup regolari, eseguire i passaggi per ridurre il livello di esposizione.

Passaggi da eseguire prima di un attacco

Applicare queste procedure consigliate prima di un attacco.

Attività Dettagli
Identificare i sistemi importanti che è necessario riportare online (usando le prime cinque categorie precedenti) e iniziare immediatamente a eseguire backup regolari di tali sistemi. Per eseguire il backup e l'esecuzione il più rapidamente possibile dopo un attacco, determinare oggi cosa è più importante per te.
Eseguire la migrazione dell'organizzazione al cloud.

Prendere in considerazione l'acquisto di un piano di supporto unificato Microsoft o collaborare con un partner Microsoft per supportare il passaggio al cloud.		 Ridurre l'esposizione locale spostando i dati nei servizi cloud con il backup automatico e il rollback self-service. Microsoft Azure offre un solido set di strumenti che consentono di eseguire il backup dei sistemi critici per l'azienda e ripristinare i backup più velocemente.

Il supporto tecnico Unificato Microsoft è un modello di supporto dei servizi cloud disponibile per aiutarti ogni volta che ti serve. Supporto unificato:

Fornisce un team designato disponibile 24x7 con la risoluzione dei problemi necessaria e l'escalation di eventi imprevisti critici

Consente di monitorare l'integrità dell'ambiente IT e di funzionare in modo proattivo per assicurarsi che i problemi vengano evitati prima che si verifichino
Spostare i dati utente in soluzioni cloud come OneDrive e SharePoint per sfruttare le funzionalità di controllo delle versioni e cestino.

Informare gli utenti su come recuperare i file autonomamente per ridurre i ritardi e i costi di ripristino. Ad esempio, se i file di OneDrive di un utente sono stati infettati da malware, possono ripristinare l'intero OneDrive a un'ora precedente.

Prendere in considerazione una strategia di difesa, ad esempio Microsoft Defender XDR, prima di consentire agli utenti di ripristinare i propri file.		 I dati degli utenti nel cloud Microsoft possono essere protetti da funzioni predefinite di sicurezza e di gestione dei dati.

È consigliabile insegnare agli utenti come ripristinare i propri file, ma è necessario prestare attenzione che gli utenti non ripristinino il malware usato per eseguire l'attacco. È necessario:

Assicurarsi che gli utenti non ripristinino i file finché non si è certi che l'utente malintenzionato sia stato rimosso

Avere una mitigazione sul posto nel caso in cui un utente ripristina alcuni malware

Microsoft Defender XDR usa azioni e playbook automatici basati sull'intelligenza artificiale per correggere gli asset interessati a uno stato sicuro. Microsoft Defender XDR sfrutta le funzionalità di correzione automatica dei prodotti della suite per garantire che tutti gli asset interessati correlati a un evento imprevisto vengano corretti automaticamente, se possibile.
Implementare il benchmark di sicurezza del cloud Microsoft. Il benchmark della sicurezza cloud Microsoft è il framework di controllo della sicurezza basato su framework di controllo della sicurezza basati sul settore, ad esempio NIST SP800-53, CIS Controls v7.1. Fornisce alle organizzazioni indicazioni su come configurare Azure e i servizi di Azure e implementare i controlli di sicurezza. Vedere Backup e ripristino.
Eseguire regolarmente il piano di continuità operativa/ripristino di emergenza (BC/DR).

Simulare gli scenari di risposta agli eventi imprevisti. Gli esercizi eseguiti durante la preparazione di un attacco devono essere pianificati e eseguiti in base agli elenchi di backup e ripristino con priorità.

Testare regolarmente lo scenario "Ripristina da zero" per garantire che il ripristino di emergenza/ripristino di emergenza possa portare rapidamente le operazioni aziendali critiche online da zero funzionalità (tutti i sistemi sono inattivo).		 Garantisce un rapido ripristino delle operazioni aziendali, trattando un attacco ransomware o estorsione con la stessa importanza di una calamità naturale.

Eseguire esercizi di pratica per convalidare i processi e le procedure tecniche tra team, inclusi i dipendenti fuori banda e le comunicazioni dei clienti (presupporre che tutte le e-mail e le chat siano inattiva).
Prendere in considerazione la creazione di un registro dei rischi per identificare i potenziali rischi e affrontare il modo in cui si media attraverso controlli e azioni preventivi. Aggiungere ransomware al registro dei rischi come scenario ad alta probabilità e ad alto impatto. Un registro dei rischi consente di classificare in ordine di priorità i rischi in base alla probabilità che si verifichi il rischio e alla gravità dell'azienda in caso di rischio.

Tenere traccia dello stato di mitigazione tramite il ciclo di valutazione ERM (Enterprise Risk Management).
Eseguire automaticamente il backup di tutti i sistemi aziendali critici in base a una pianificazione regolare (incluso il backup di dipendenze critiche come Active Directory).

Verificare che il backup sia corretto man mano che viene creato il backup.		 Consente di ripristinare i dati fino all'ultimo backup.
Proteggere (o stampare) documenti e sistemi di supporto necessari per il ripristino, ad esempio documenti di procedura di ripristino, CMDB, diagrammi di rete e istanze solarWinds. Gli utenti malintenzionati puntano deliberatamente a queste risorse perché compromettono la capacità di ripristino.
Assicurarsi di disporre di procedure ben documentate per coinvolgere qualsiasi supporto di terze parti, in particolare il supporto di provider di intelligence sulle minacce, provider di soluzioni antimalware e dal provider di analisi malware. Proteggere (o stampare) queste procedure. I contatti di terze parti possono essere utili se la variante ransomware specificata ha punti deboli noti o strumenti di decrittografia sono disponibili.
Verificare che la strategia di backup e ripristino includa:

Possibilità di eseguire il backup dei dati in un momento specifico.

Più copie dei backup vengono archiviate in posizioni isolate e offline (air-gapped).

Obiettivi del tempo di ripristino che stabiliscono la velocità con cui è possibile recuperare e inserire le informazioni di backup nell'ambiente di produzione.

Ripristino rapido del backup in un ambiente di produzione/sandbox.		 I backup sono essenziali per la resilienza dopo che un'organizzazione è stata violata. Applicare la regola 3-2-1 per la massima protezione e disponibilità: 3 copie (backup originali + 2), 2 tipi di archiviazione e 1 fuori sede o copia ad accesso sporadico.
Proteggere i backup contro la cancellazione e la crittografia intenzionali:

Archiviare i backup in una risorsa di archiviazione offline o fuori sede e/o in una risorsa di archiviazione non modificabile.

Richiedere passaggi fuori banda (ad esempio MFA o PIN di sicurezza) prima di consentire la modifica o la cancellazione di un backup online.

Creare endpoint privati all'interno di Azure Rete virtuale per eseguire in modo sicuro il backup e il ripristino dei dati dall'insieme di credenziali di Servizi di ripristino.		 I backup accessibili agli utenti malintenzionati possono essere inutilizzabili per il ripristino dell'azienda.

L'archiviazione offline garantisce un trasferimento affidabile dei dati di backup senza usare alcuna larghezza di banda di rete. Backup di Azure supporta il backup offline, che trasferisce i dati di backup iniziali offline, senza l'uso della larghezza di banda di rete. Esso fornisce un meccanismo per copiare i dati di backup su dispositivi di archiviazione fisica. I dispositivi vengono quindi spediti a un data center di Azure nelle vicinanze e caricati in un insieme di credenziali di Servizi di ripristino.

L'archiviazione non modificabile online (ad esempio BLOB di Azure) consente di archiviare oggetti dati business critical in uno stato WORM (Write Once, Read Many). Questo stato rende i dati non cancellabili e non modificabili per un intervallo di tempo specificato dall'utente.

L'autenticazione a più fattori (MFA) deve essere obbligatoria per tutti gli account amministratore ed è fortemente consigliata per tutti gli utenti. Il metodo preferito consiste nell'usare un'app di autenticazione anziché un SMS o una voce laddove possibile. Quando si configura Backup di Azure è possibile configurare i servizi di ripristino per abilitare l'autenticazione a più fattori usando un PIN di sicurezza generato nel portale di Azure. In questo modo si garantisce che venga generato un pin di sicurezza per eseguire operazioni critiche, ad esempio l'aggiornamento o la rimozione di un punto di ripristino.
Designare le cartelle protette. Rende più difficile per le applicazioni non autorizzate modificare i dati in queste cartelle.
Esaminare le autorizzazioni:

Individuare autorizzazioni di scrittura/eliminazione generali per condivisioni file, SharePoint e altre soluzioni. Per estese si intende il numero di utenti che dispongono di autorizzazioni di scrittura/eliminazione dei dati critici dell'azienda.

Ridurre le autorizzazioni generali rispettando i requisiti di collaborazione aziendale.

Controllare e monitorare per garantire che le autorizzazioni generali non vengano nuovamente visualizzate.		 Riduce i rischi derivanti da attività ransomware di ampia portata per l'accesso.
Proteggere da un tentativo di phishing:

Eseguire regolarmente un training di sensibilizzazione sulla sicurezza per aiutare gli utenti a identificare un tentativo di phishing ed evitare di fare clic su un elemento in grado di creare un punto di ingresso iniziale per una compromissione.

Applicare controlli di filtro della sicurezza alla posta elettronica per rilevare e ridurre al minimo la probabilità di un tentativo di phishing riuscito.		 Il metodo più comune usato dagli utenti malintenzionati per infiltrarsi in un'organizzazione è il tentativo di phishing tramite posta elettronica. Exchange Online Protection (EOP) è il servizio di filtro basato sul cloud che protegge l'organizzazione da posta indesiderata, malware e altre minacce alla posta elettronica. EOP è incluso in tutte le organizzazioni Microsoft 365 con caselle di posta elettronica Exchange Online.

Un esempio di controllo del filtro di sicurezza per la posta elettronica è Cassaforte Collegamenti. Cassaforte Collegamenti è una funzionalità di Defender per Office 365 che fornisce l'analisi e la riscrittura degli URL e dei collegamenti nei messaggi di posta elettronica durante il flusso di posta in ingresso e la verifica dell'ora di clic degli URL e dei collegamenti nei messaggi di posta elettronica e in altre posizioni (documenti di Microsoft Teams e Office). Cassaforte l'analisi dei collegamenti si verifica oltre alla normale protezione da posta indesiderata e antimalware nei messaggi di posta elettronica in ingresso in EOP. L'analisi dei collegamenti sicuri consente di proteggere l'organizzazione da collegamenti dannosi usati nel phishing e in altri attacchi.

Altre informazioni sulla protezione anti-phishing.

Cosa fare durante un attacco

Se si è attaccati, l'elenco di backup con priorità diventa l'elenco di ripristino con priorità. Prima di eseguire il ripristino, verificare di nuovo che il backup sia valido. Potrebbe essere possibile cercare malware all'interno del backup.

Passaggi da eseguire durante un attacco

Applicare queste procedure consigliate durante un attacco.

Attività Dettagli
All'inizio dell'attacco, coinvolgere il supporto di terze parti, in particolare il supporto di provider di intelligence per le minacce, provider di soluzioni antimalware e dal provider di analisi malware. Questi contatti possono essere utili se la variante ransomware specificata ha una debolezza nota o strumenti di decrittografia sono disponibili.

Microsoft Detection and Response Team (DART) consente di proteggere l'utente dagli attacchi. DART interagisce con i clienti in tutto il mondo, contribuendo a proteggere e proteggere gli attacchi prima che si verifichino, nonché a indagare e correggere quando si è verificato un attacco.

Microsoft fornisce anche servizi di ripristino rapido ransomware. I servizi vengono forniti esclusivamente dalla Microsoft Global Compromise Recovery Security Practice (CRSP). L'attenzione di questo team durante un attacco ransomware è quello di ripristinare il servizio di autenticazione e limitare l'impatto del ransomware.

DART e CRSP fanno parte della linea del servizio di sicurezza per la distribuzione di soluzioni di settore Microsoft.
Contattare le forze dell'ordine locali o federali. Se sei nel Stati Uniti, contatta l'FBI per segnalare una violazione ransomware usando il modulo di segnalazione di reclamo IC3.
Eseguire la procedura per rimuovere il payload malware o ransomware dall'ambiente e arrestare la diffusione.

Eseguire un'analisi antivirus completa e corrente su tutti i computer e i dispositivi sospetti per rilevare e rimuovere il payload associato al ransomware.

Analizzare i dispositivi che sincronizzano i dati o le destinazioni delle unità di rete mappate.		 È possibile usare Windows Defender o (per i client meno recenti) Microsoft Security Essentials.

Un'alternativa che aiuterà anche a rimuovere ransomware o malware è lo strumento di rimozione software dannoso (MSRT).
Ripristinare prima i sistemi business critical. Ricordarsi di convalidare di nuovo che il backup è valido prima del ripristino. A questo punto, non è necessario ripristinare tutto. Concentrarsi sui primi cinque sistemi business critical dell'elenco di ripristino.
Se sono presenti backup offline, probabilmente è possibile ripristinare i dati crittografati dopo aver rimosso il payload ransomware (malware) dall'ambiente. Per evitare attacchi futuri, assicurarsi che ransomware o malware non sia sul backup offline prima del ripristino.
Identificare un'immagine di backup temporizzato sicura che non deve essere infettata.

Se si usa l'insieme di credenziali di Servizi di ripristino, esaminare attentamente la sequenza temporale degli eventi imprevisti per comprendere il momento giusto per ripristinare un backup.		 Per evitare attacchi futuri, analizzare il backup di ransomware o malware prima del ripristino.
Usare uno scanner di sicurezza e altri strumenti per il ripristino completo del sistema operativo, nonché scenari di ripristino dei dati. Microsoft Cassaforte ty Scanner è uno strumento di analisi progettato per trovare e rimuovere malware dai computer Windows. È sufficiente scaricarlo ed eseguire un'analisi per trovare malware e provare a invertire le modifiche apportate dalle minacce identificate.
Assicurarsi che la soluzione antivirus o rilevamento e reazione dagli endpoint (EDR) sia aggiornata. È anche necessario avere patch aggiornate. È preferibile una soluzione EDR, ad esempio Microsoft Defender per endpoint.
Dopo che i sistemi business critical sono operativi, ripristinare altri sistemi.

Quando i sistemi vengono ripristinati, iniziare a raccogliere i dati di telemetria in modo da poter prendere decisioni formativi su ciò che si sta ripristinando.		 I dati di telemetria devono essere utili per identificare se il malware è ancora nei sistemi.

Post-attacco o simulazione

Dopo un attacco ransomware o una simulazione di risposta agli eventi imprevisti, seguire questa procedura per migliorare i piani di backup e ripristino, nonché il comportamento di sicurezza:

  1. Identificare le lezioni apprese dove il processo non funzionava bene (e opportunità per semplificare, accelerare o migliorare altrimenti il processo)
  2. Eseguire l'analisi della causa radice sulle sfide più grandi (con un livello di dettaglio sufficiente per garantire che le soluzioni affrontino il problema corretto, considerando persone, processi e tecnologie)
  3. Analizzare e correggere la violazione originale contattando il Microsoft Detection and Response Team (DART) per assistenza.
  4. Aggiornare la strategia di backup e ripristino in base alle lezioni apprese e alle opportunità, assegnando priorità in base all'impatto più elevato e ai passaggi di implementazione più rapidi

Passaggi successivi

In questo articolo si è appreso come migliorare il piano di backup e ripristino per proteggersi da ransomware. Per le procedure consigliate sulla distribuzione della protezione ransomware, vedere Protezione rapida da ransomware ed estorsione.

Informazioni chiave sul settore:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR:

Post di blog del team di Microsoft Security: